41049989 Administration Des GPO

Table des matières

Vue d'ensemble 1

Présentation multimédia : Introduction aux stratégies de groupe 2

Leçon : Implémentation d'objets de stratégie de groupe 3

Leçon : Implémentation d'objets de stratégie de groupe dans un domaine 10

Leçon : Administration du déploiement d'une stratégie de groupe 25

Atelier A : Implémentation d'une stratégie de groupe 41

Module 8 : Implémentation d'une stratégie de groupe

Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2003 Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN, PowerPoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Module 8 : Implémentation d'une stratégie de groupe iii

Notes du formateur Ce module présente la fonction d'implémentation d'une stratégie de groupe. Il permet notamment aux stagiaires d'acquérir les connaissances et les compétences nécessaires pour décrire l'objet et la fonction d'une stratégie de groupe dans un environnement Microsoft® Windows Server� 2003, implémenter des objets de stratégie de groupe (GPO, Group Policy Objects) et administrer ces objets.

À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :

! implémenter un objet de stratégie de groupe local ; ! implémenter des objets de stratégie de groupe dans un domaine ; ! administrer le déploiement d'une stratégie de groupe.

Pour animer ce module, vous devez disposer des élèments suivants :

! fichier Microsoft PowerPoint® 2144A_08.ppt ; ! présentation multimédia Introduction aux stratégies de groupe ; ! activité multimédia Les stratégies de groupe.

Pour préparer ce module, vous devez effectuer les tâches suivantes :

! lire tous les supports de cours de ce module ; ! réaliser les applications pratiques et l'atelier ; ! passer en revue la présentation multimédia Introduction aux stratégies de

groupe ; ! passer en revue la présentation multimédia Les stratégies de groupe.

Présentation : 120 minutes Atelier : 25 minutes

Matériel requis

Préparation

iv Module 8 : Implémentation d'une stratégie de groupe

Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module.

Présentation multimédia Les fichiers multimédias sont installés sur l'ordinateur du formateur. Pour ouvrir une présentation multimédia, cliquez sur l'icône d'animation qui figure sur la diapositive de cette présentation.

Pages de procédures, applications pratiques et ateliers Expliquez aux stagiaires la relation entre les pages de procédures, les applications pratiques ainsi que les ateliers et ce cours. Un module contient au minimum deux leçons. La plupart des leçons comprennent des pages de procédures et une application pratique. À la fin de toutes les leçons, le module se termine par un atelier.

Les pages de procédures permettent au formateur de montrer comment réaliser une tâche. Les stagiaires n'effectuent pas avec le formateur les tâches de la page de procédure. Ils suivent ces étapes pour exécuter l'application pratique prévue à la fin de chaque leçon.

Une fois que vous avez couvert le contenu de la section et montré les procédures de la leçon, expliquez aux stagiaires qu'une application pratique portant sur toutes les tâches abordées est prévue à l'issue de la leçon.

À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique les tâches traitées et appliquées tout au long du module.

À l'aide de scénarios appropriés à la fonction professionnelle, l'atelier fournit aux stagiaires un ensemble d'instructions dans un tableau à deux colonnes. La colonne de gauche indique la tâche (par exemple : Créer un groupe). La colonne de droite contient des instructions spécifiques dont les stagiaires auront besoin pour effectuer la tâche (par exemple : à partir de Utilisateurs et ordinateurs Active Directory, double-cliquez sur le n�ud de domaine).

Chaque exercice d'atelier dispose d'une clé de réponse que les stagiaires trouveront sur le CD-ROM du stagiaire s'ils ont besoin d'instructions étape par étape pour terminer l'atelier. Ils peuvent également consulter les applications pratiques et les pages de procédures du module.

Présentation multimédia : Introduction aux stratégies de groupe Cette présentation décrit les utilisations possibles d'une stratégie de groupe, le mécanisme de l'héritage de la stratégie de groupe et deux méthodes permettant de modifier l'héritage.

Pages de procédures

Applications pratiques

Ateliers

Module 8 : Implémentation d'une stratégie de groupe v

Leçon : Implémentation d'objets de stratégie de groupe Cette section décrit les méthodes pédagogiques à mettre en �uvre pour cette leçon.

Dans cette leçon, vous allez découvrir ce qu'est un objet de stratégie de groupe et les types de paramètres de configuration utilisateur et ordinateur affectés par un objet de stratégie de groupe.

Leçon : Implémentation d'objets de stratégie de groupe dans un domaine

Cette section décrit les méthodes pédagogiques à mettre en �uvre pour cette leçon.

Dans cette section, les stagiaires vont apprendre à implémenter des objets de stratégie de groupe dans un domaine. Vous devrez leur expliquer ce qu'est un objet de stratégie de groupe, comment le créer, puis ce qu'est un lien d'objet de stratégie de groupe. Vous décrirez également la différence entre la suppression et la désactivation d'un lien et les cas où il convient d'appliquer une option plutôt que l'autre.

Décrivez la façon dont l'héritage de la stratégie de groupe s'effectue dans la structure du service d'annuaire Active Directory®. Ce sujet comprend une activité multimédia permettant aux stagiaires d'exercer leur compréhension des concepts de stratégie de groupe. Demandez aux stagiaires d'ouvrir l'activité multimédia Les stratégies de groupe, puis cliquez sur l'onglet Répercussions des paramètres de stratégie de groupe. Accordez 10 minutes aux stagiaires pour terminer l'activité.

Leçon : Administration du déploiement d'une stratégie de groupe Cette section décrit les méthodes pédagogiques à mettre en �uvre pour cette leçon.

Sous cette rubrique, les stagiaires vont apprendre à administrer le déploiement d'objets de stratégie de groupe. Rappelez aux stagiaires de n'utiliser que rarement la fonction Bloquer l'héritage de stratégies et soulignez qu'il est important de respecter l'ordre de liaison avec l'option Appliqué.

Ce sujet comprend une activité multimédia permettant aux étudiants d'affiner leur compréhension des concepts de stratégie de groupe. Demandez aux stagiaires d'ouvrir l'activité multimédia Les stratégies de groupe, puis cliquez sur l'onglet Gestion du déploiement. Accordez 10 minutes aux stagiaires pour terminer l'activité.

Atelier A : Implémentation d'une stratégie de groupe Les stagiaires doivent avoir terminé toutes les applications pratiques avant de commencer l'atelier.

Rappelez aux stagiaires qu'ils peuvent revenir aux pages de procédures du module afin d'obtenir de l'aide. La clé de réponse correspondant à chaque atelier est fournie sur le CD-ROM du stagiaire.

Vue d'ensemble de la leçon


Héritage de l'autorisation de stratégie de groupe dans Active Directory


Blocage du déploiement d'un objet de stratégie de groupe

Module 8 : Implémentation d'une stratégie de groupe 1

Vue d'ensemble

*********************DOCUMENT A L�USAGE EXCLUSIF DE L�INSTRUCTEUR********************

Ce module présente la fonction d'implémentation d'une stratégie de groupe. Il permet notamment aux stagiaires d'acquérir les connaissances et les compétences nécessaires pour décrire l'objet et la fonction d'une stratégie de groupe dans un environnement Microsoft® Windows Server� 2003, implémenter des objets de stratégie de groupe (GPO, Group Policy Objects) et administrer ces objets.

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

! implémenter une stratégie de groupe ; ! implémenter des objets de stratégie de groupe dans un domaine ; ! administrer le déploiement d'une stratégie de groupe.

Introduction

Objectifs

2 Module 8 : Implémentation d'une stratégie de groupe

Présentation multimédia : Introduction aux stratégies de groupe


Pour visionner l'animation Introduction aux stratégies de groupe, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur Multimédia, puis sur le titre de la présentation.

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

! décrire les types de paramètres que vous pouvez définir dans une stratégie de groupe ;

! décrire l'application d'une stratégie de groupe.

Pour plus d'informations sur l'application d'une stratégie de groupe par un client, consultez l�article « Order of events in startup and logon » (en anglais) à l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/winxppro/proddocs/orderofevents.asp

Emplacement du fichier

Objectifs

Lectures complémentaires


Leçon : Implémentation d'objets de stratégie de groupe


À la fin de cette leçon, les stagiaires seront à même d'implémenter des objets de stratégie de groupe :


! expliquer ce qu'est une stratégie de groupe ; ! décrire les paramètres de configuration des utilisateurs et des ordinateurs ; ! définir les paramètres de stratégie d'un ordinateur.

Introduction

Objectifs de la leçon


Description d'une stratégie de groupe


Le service d'annuaire Active Directory® utilise une stratégie de groupe pour administrer les utilisateurs et les ordinateurs connectés à votre réseau. Grâce à la stratégie de groupe, il suffit de définir une seule fois l'état de l'environnement de travail d'un utilisateur et de laisser ensuite la famille Windows Server 2003 appliquer systématiquement les paramètres de cette stratégie. Vous pouvez appliquer les paramètres de stratégie de groupe à l'échelle d'une entreprise ou à des groupes d'utilisateurs et d'ordinateurs donnés.

Pour plus d'informations sur les stratégies de groupe, consultez les deux articles suivants :

! « IntelliMirror® » (en anglais) à l'adresse http://www.microsoft.com/technet/ treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/ proddocs/server/sag_IMirror_top_node.asp

! « Group Policy settings overview » (en anglais) à l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/server/gpsettings.asp

Définition



Description des paramètres de configuration des utilisateurs et des ordinateurs


Vous pouvez appliquer les paramètres d'une stratégie de groupe à des utilisateurs et des ordinateurs à l'aide des fonctions Configuration ordinateur et Configuration utilisateur de la stratégie de groupe.

Les paramètres de stratégie de groupe qui s'appliquent aux utilisateurs comprennent les paramètres qui déterminent le comportement d'un système d'exploitation, les paramètres du Bureau, les paramètres de sécurité, les options des applications attribuées et publiées, les paramètres des applications, les options de redirection de dossier et enfin les scripts d'ouverture et de fermeture de session. Les paramètres de stratégie de groupe relatifs aux utilisateurs sont appliqués à l'ouverture d'une session sur l'ordinateur et pendant le cycle d'actualisation périodique.

Les paramètres de stratégie de groupe qui personnalisent l'environnement du Bureau de l'utilisateur ou appliquent des stratégies de verrouillage aux utilisateurs figurent sous Configuration utilisateur dans l'Éditeur d'objets de stratégie de groupe.

Le dossier Paramètres du logiciel sous Configuration utilisateur contient les paramètres logiciels qui s'appliquent aux utilisateurs, quel que soit l'ordinateur sur lequel la session est ouverte. Ce dossier contient également les paramètres d'installation du logiciel et d'autres paramètres éventuels ajoutés par des éditeurs de logiciels indépendants (ISV, Independent Software Vendor).

Le dossier Paramètres Windows sous Configuration utilisateur contient les paramètres Windows qui s'appliquent aux utilisateurs, quel que soit l'ordinateur sur lequel la session est ouverte. Ce dossier contient également les éléments suivants : Redirection de dossiers, Paramètres de sécurité et Scripts.

Introduction

Configuration utilisateur

Paramètres logiciels de configuration utilisateur

Paramètres Windows de configuration des utilisateurs


Les paramètres de stratégie de groupe qui s'appliquent aux ordinateurs comprennent les paramètres qui déterminent le comportement du système d'exploitation, les paramètres du Bureau, les paramètres de sécurité, les scripts de démarrage et d'arrêt des ordinateurs, les options des applications attribuées aux ordinateurs et les paramètres des applications. Les paramètres de stratégie de groupe relatifs à l'ordinateur sont appliqués à l'initialisation du système d'exploitation et pendant le cycle d'actualisation périodique. Les paramètres de stratégie de groupe qui s'appliquent aux ordinateurs sont généralement prioritaires par rapport aux paramètres de stratégie de groupe qui s'appliquent aux utilisateurs conflictuels.

Les paramètres de stratégie de groupe qui personnalisent l'environnement du Bureau de tous les utilisateurs d'un ordinateur ou appliquent des stratégies de sécurité sur les ordinateurs connectés à un réseau figurent sous Configuration ordinateur dans l'Éditeur d'objets de stratégie de groupe.

Le dossier Paramètres du logiciel sous Configuration ordinateur contient les paramètres logiciels qui s'appliquent à tous les utilisateurs qui ouvrent une session sur l'ordinateur. Ce dossier contient également les paramètres d'installation du logiciel et d'autres paramètres éventuels ajoutés par des éditeurs de logiciels indépendants.

Le dossier Paramètres Windows sous Configuration ordinateur contient les paramètres Windows qui s'appliquent à tous les utilisateurs qui ouvrent une session sur l'ordinateur. Ce dossier contient également les éléments suivants : Paramètres de sécurité et Scripts.

Les paramètres de sécurité figurent dans le dossier Paramètres Windows sous Configuration ordinateur et Configuration utilisateur dans l'Éditeur d'objets de stratégie de groupe. Les paramètres ou les stratégies de sécurité sont des règles que vous configurez sur un ou plusieurs ordinateurs pour protéger les ressources qui résident sur ces ordinateurs ou sur un réseau. Les paramètres de sécurité permettent de définir la stratégie de sécurité d'une unité d'organisation, d'un domaine ou d'un site.

Pour plus d'informations sur l'extension d'une stratégie de groupe, consultez « Advanced methods of extending Group Policy » (en anglais) à l'adresse http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/server/sag_SPconcepts_30.asp

Configuration des ordinateurs

Paramètres logiciels de configuration des ordinateurs

Paramètres Windows de configuration des ordinateurs

Paramètres de sécurité des configurations des utilisateurs et des ordinateurs



Définition des paramètres d'une stratégie d'ordinateur local


Pour modifier un objet de stratégie de groupe local, vous devez ouvrir une session en tant que membre des groupes Admins du domaine ou Administrateurs de l'entreprise.

Vous pouvez accéder à l'Éditeur d'objets de stratégie de groupe à partir de Outils d'administration ou par le biais d'un composant logiciel enfichable MMC (Microsoft Management Console).

Pour définir les paramètres d'une stratégie d'ordinateur local :

1. Ouvrez la fenêtre Éditeur d'objets de stratégie de groupe par le biais d'un composant logiciel enfichable MMC.

2. Dans l'arborescence de la console, double-cliquez sur les dossiers pour afficher les paramètres de stratégie dans le volet d'informations.

3. Dans le volet d'informations, double-cliquez sur un paramètre de stratégie pour ouvrir la boîte de dialogue Propriétés, puis modifiez le paramètre.

Introduction

Remarque

Procédure


Application pratique : Définition des paramètres de stratégie d'ordinateur local


Dans cet exercice, vous allez définir un paramètre de stratégie d'ordinateur local à l'aide de l'Éditeur d'objets de stratégie de groupe.

Avant de commencer cette application pratique :

! Ouvrez une session dans le domaine en utilisant le compte NomOrdinateurUser.

! Ouvrez CustomMMC à l'aide de la commande Exécuter en tant que. Utilisez le compte d'utilisateur Nwtraders\NomOrdinateurAdmin (exemple : LondonAdmin).

! Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche.

Les administrateurs système vous demandent de tester certains paramètres de la stratégie d'ordinateur local avant de les déployer sur les serveurs de production. Vous allez définir certains paramètres de stratégie d'ordinateur local sur votre serveur et les tester pour vérifier leur bon fonctionnement.

! Ajouter l'Éditeur d'objets de stratégie de groupe dans CustomMMC

1. Ouvrez CustomMMC. 2. Ajoutez le composant logiciel enfichable Éditeur d'objets de stratégie

de groupe avec l'option d'utiliser l'Ordinateur local. 3. Enregistrez CustomMMC.

Objectif

Instruction

Scénario

Application pratique


! Empêcher les utilisateurs d'arrêter le serveur en définissant un paramètre de stratégie d'ordinateur local

1. Dans CustomMMC, développez le composant logiciel enfichable, Stratégie Ordinateur local.

2. Dans l'arborescence de la console, développez Configuration utilisateur, puis Modèles d'administration et cliquez sur Menu Démarrer et Barre des tâches.

3. Dans le volet d'informations, double-cliquez sur Supprimer et empêcher l'accès à la commande Arrêter.

4. Dans la boîte de dialogue des Propriétés de Supprimer et empêcher l'accès à la commande Arrêter, cliquez sur Activé, puis sur OK.

5. Enregistrez et fermez tous les programmes, puis fermez la session.

! Tester le paramètre de stratégie qui empêche les utilisateurs d'arrêter le serveur

1. Ouvrez une session en tant que NomOrdinateurUser avec le mot de passe P@ssw0rd dans le domaine NWTraders.

2. Cliquez sur Démarrer et vérifiez que le bouton Arrêter ne figure plus dans le menu Démarrer.

3. Fermez tous les programmes, puis fermez la session.

! Activer le bouton Arrêter sur le serveur à l'aide d'un paramètre de stratégie d'ordinateur local


2. Ouvrez CustomMMC avec la commande Exécuter en tant que sous le compte d'utilisateur Nwtraders\NomOrdinateurAdmin.

3. Dans CustomMMC, développez le composant logiciel enfichable, Stratégie Ordinateur local.

4. Dans l'arborescence de la console, développez Configuration utilisateur, puis Modèles d'administration et cliquez sur Menu Démarrer et Barre des tâches.

5. Dans le volet d'informations, double-cliquez sur Supprimer et empêcher l'accès à la commande Arrêter.

6. Dans la boîte de dialogue Propriétés de Supprimer et empêcher l'accès à la commande Arrêter, cliquez sur Non configuré, puis sur OK.

7. Enregistrez et fermez tous les programmes, puis fermez la session.

! Tester la stratégie locale qui active l'option d'arrêt sur le serveur


2. Cliquez sur Démarrer et vérifiez que le bouton Arrêter a été activé. 3. Fermez tous les programmes et fermez la session.


Leçon : Implémentation d'objets de stratégie de groupe dans un domaine


L'implémentation d'une stratégie de groupe dans un domaine permet à l'administrateur réseau de mieux administrer la configuration des ordinateurs du réseau. Par ailleurs, la fonction de stratégie de groupe de Windows Server 2003 permet de créer un environnement de Bureau administré adapté aux responsabilités et à l'expérience de l'utilisateur, ce qui réduit le recours à l'assistance réseau.


! maîtriser les outils qui permettent de créer des objets de stratégie de groupe ; ! expliquer ce qu'est l'administration d'un objet de stratégie de groupe dans

un domaine ; ! créer un objet de stratégie de groupe ; ! expliquer ce qu'est un lien d'objet stratégie de groupe ; ! expliquer comment définir les attributs des liens d'objet de stratégie

de groupe ; ! expliquer le mode d'héritage de l'autorisation de stratégie de groupe dans

Active Directory.

Introduction



Outils de création d'objets de stratégie de groupe


Vous pouvez ouvrir l'Éditeur d'objets de stratégie de groupe à partir d'autres outils pour modifier des objets de stratégie de groupe.

Vous pouvez ouvrir l'Éditeur d'objets de stratégie de groupe à partir de la fenêtre Utilisateurs et ordinateurs Active Directory pour administrer les objets de stratégie de groupe des domaines et des unités d'organisation. La boîte de dialogue Propriétés d'un domaine ou d'une unité d'organisation contient l'onglet Stratégie de groupe. Cet onglet permet d'administrer les objets de stratégie de groupe du domaine ou des unités d'organisation.

Vous pouvez ouvrir l'Éditeur d'objets de stratégie de groupe à partir de la fenêtre Sites et services Active Directory pour administrer les objets de stratégie de groupe des sites. La boîte de dialogue Propriétés d'un site contient l'onglet Stratégie de groupe. Cet onglet permet d'administrer les objets de stratégie de groupe du site.

Si la console Gestion des stratégies de groupe est installée, ADUC et ADSS sont remplacés par un bouton permettant de la lancer.

La console Gestion des stratégies de groupe est un ensemble d'interfaces programmables qui permet d'administrer une stratégie de groupe, ainsi qu'un composant logiciel enfichable MMC conçu sur la base de ces interfaces. Tous les composants de la console Gestion des stratégies de groupe permettent de gérer la stratégie de groupe dans l'ensemble de l'entreprise depuis un emplacement central.

Introduction

Utilisateurs et ordinateurs Active Directory

Sites et services Active Directory

Remarque

Console Gestion des stratégies de groupe


La console Gestion des stratégies de groupe combine la fonctionnalité de tous ces composants dans une interface utilisateur unique. Cette interface est organisée selon la manière dont vous utilisez et administrez la stratégie de groupe. Elle intègre, dans un composant logiciel enfichable MMC unique, la fonctionnalité de stratégie de groupe des outils suivants :

! Utilisateurs et ordinateurs Active Directory ! Sites et services Active Directory ! Jeu de stratégie résultant (RSoP, Resultant Set of Policy) La fonction Gestion des stratégies de groupe intègre également des fonctionnalités qui n'étaient pas disponibles dans les outils de stratégie de groupe précédents. La fonction Gestion des stratégies de groupe permet d'effectuer notamment les tâches suivantes :

! sauvegarder et restaurer des objets de stratégie de groupe ; ! copier et importer des objets de stratégie de groupe ; ! utiliser des filtres WMI (Windows Management Instrumentation) ; ! générer des rapports sur les objets de stratégie de groupe et le jeu

de stratégie résultant ; ! rechercher des objets de stratégie de groupe.

Avant l'introduction de la fonction Gestion des stratégies de groupe, vous administriez les stratégies de groupe à l'aide de divers outils Windows, notamment Utilisateurs et ordinateurs Active Directory, Sites et services Active Directory et Jeu de stratégie résultant (RSoP). La fonction Gestion des stratégies de groupe centralise l'administration de toutes les principales tâches associées à une stratégie de groupe dans un même outil. Grâce à cette administration centralisée, la fonctionnalité de stratégie de groupe n'est plus nécessaire dans les autres outils.

Une fois la console Gestion des stratégies de groupe installée, vous utiliserez toujours chacun des outils Active Directory pour effectuer les tâches d'administration d'annuaire auquel ils sont dévolus, telles que la création d'objets Utilisateur, Ordinateur et Groupe. Vous pouvez cependant utiliser la fonction Gestion des stratégies de groupe pour effectuer toutes les tâches liées à une stratégie de groupe. La fonctionnalité de stratégie de groupe n'est plus disponible dans les outils Active Directory lorsque la console Gestion des stratégies de groupe est installée.

La fonction Gestion des stratégies de groupe ne remplace pas l'Éditeur d'objets de stratégie de groupe. Vous devez toujours utiliser l'Éditeur d'objets de stratégie de groupe pour modifier les objets de stratégie de groupe. La fonction Gestion des stratégies de groupe intègre la fonctionnalité de modification en permettant d'accéder directement à l'Éditeur d'objets de stratégie de groupe.

La console Gestion des stratégies de groupe n'est pas fournie avec Windows Server 2003. Vous devez la télécharger depuis le site http://www.microsoft.com (en anglais).

Administration de stratégie de groupe et outils de stratégie de groupe

Remarque


Windows comprend de nombreux fichiers de modèles portant l'extension .adm. Ces fichiers, appelés « modèles d'administration », fournissent des informations sur la stratégie des éléments figurant dans le dossier Modèles d'administration, dans l'arborescence de la console de l'Éditeur d'objets de stratégie de groupe. Les modèles d'administration comprennent les paramètres basés sur le Registre, disponibles sous Configuration ordinateur et Configuration utilisateur dans l'Éditeur d'objets de stratégie de groupe.

Un fichier .adm consiste en une hiérarchie de catégories et de sous-catégories qui définissent l'apparence des paramètres de la stratégie. Il contient également les informations suivantes :

! l'emplacement de chaque paramètre dans le Registre ; ! des options ou des restrictions pour les valeurs associées à chaque

paramètre ; ! une valeur par défaut pour la plupart des paramètres ; ! l'explication de la fonction de chaque paramètre ; ! les versions Windows qui prennent en charge chaque paramètre.

Modèles d'administration


Description de l'administration d'un objet de stratégie de groupe dans un domaine


Après avoir créé un objet de stratégie de groupe, vous devez définir ses paramètres. En regroupant des ensembles de paramètres dans des objets de stratégie de groupe distincts, vous pouvez définir différentes configurations pour chaque objet de stratégie de groupe de sorte que chaque objet ne s'applique qu'aux ordinateurs et aux utilisateurs spécifiés. Lorsque vous placez des objets de stratégie de groupe dans un domaine, vous pouvez administrer leurs paramètres dans l'ensemble du domaine.

Le conteneur Stratégie de groupe est un objet Active Directory qui contient les attributs des objets de stratégie de groupe. Il comprend des sous-conteneurs qui contiennent les informations de stratégie de groupe relatives aux ordinateurs et aux utilisateurs. Le conteneur Stratégie de groupe contient les informations suivantes :

! Informations de version. Garantit la synchronisation des informations dans le conteneur Stratégie de groupe sur tous les contrôleurs de domaine.

! Informations d'état. Indique si l'objet de stratégie de groupe est activé ou désactivé.

! Liste des extensions. Affiche toutes les extensions de stratégie de groupe utilisées dans l'objet de stratégie de groupe.

Pour plus d'informations sur l'administration d'une stratégie de groupe, consultez les articles suivants :

! « Introducing the Group Policy Management Console » (en anglais) à l'adresse http://www.microsoft.com/windowsserver2003/gpmc/ gpmcintro.mspx

! « Enterprise Management with the Group Policy Management Console » (en anglais) à l'adresse http://www.microsoft.com/windowsserver2003/ gpmc/default.mspx

Introduction

Conteneur Stratégie de groupe



Procédure de création d'un objet de stratégie de groupe


Suivez les procédures ci-dessous pour créer un objet de stratégie de groupe ou lier un objet de stratégie de groupe existant à l'aide de Utilisateurs et ordinateurs Active Directory et pour créer un objet de stratégie de groupe sur un site ou dans un domaine ou une unité d'organisation.

Pour créer un objet de stratégie de groupe ou lier un objet de stratégie de groupe existant à l'aide de Utilisateurs et ordinateurs Active Directory, procédez comme suit :

1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le conteneur Active Directory (domaine ou unité d'organisation) pour lequel vous voulez créer un objet de stratégie de groupe, puis cliquez sur Propriétés.

2. Dans l'onglet Stratégie de groupe de la boîte de dialogue Propriétés, sélectionnez l'une des options suivantes :

• Pour créer un objet de stratégie de groupe, cliquez sur Nouveau, tapez le nom du nouvel objet de stratégie de groupe, puis appuyez sur la touche Entrée.

• Pour lier un objet de stratégie de groupe existant, cliquez sur Ajouter, puis sélectionnez l'objet de stratégie de groupe dans la liste.

L'objet de stratégie de groupe créé ou lié s'affiche dans la liste des objets de stratégie de groupe liés au conteneur Active Directory.

Introduction

Procédure à l'aide d'Utilisateurs et ordinateurs Active Directory


Pour créer un objet de stratégie de groupe pour un site, un domaine ou une unité d'organisation, procédez comme suit :

1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Gestion des stratégies de groupe.

2. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt contenant le domaine où vous voulez créer l'objet de stratégie de groupe, puis développez Domaines et le domaine.

3. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

4. Dans la boîte de dialogue Nouvel objet GPO, tapez le nom du nouvel objet de stratégie de groupe, puis cliquez sur OK.

Procédure à l'aide de la fonction Gestion des stratégies de groupe


Application pratique : Création d'un objet de stratégie de groupe


Dans cette application pratique, vous allez créer un objet de stratégie de groupe à l'aide de Gestion des stratégies de groupe.




! Vérifiez que CustomMMC contient Gestion des stratégies de groupe. ! Passez en revue les procédures de cette leçon qui décrivent la façon

d'effectuer cette tâche.

Les ingénieurs système de Northwind Traders vont tester les paramètres de la stratégie de groupe dans un environnement de test. Ces paramètres de stratégie de groupe seront utilisés ultérieurement pour les tests d'évolutivité. Les ingénieurs système demandent à vos administrateurs système de créer l'objet de stratégie de groupe NomOrdinateurGP dans le conteneur d'objets de stratégie de groupe.

! Créer un objet de stratégie de groupe à l'aide de Gestion des stratégies de groupe

1. Dans la console Gestion des stratégies de groupe, développez nwtraders.msft.

2. Créez l'objet de stratégie de groupe NomOrdinateurGP dans le conteneur Objets de stratégie de groupe.

Pour plus d'informations sur la migration d'objets de stratégie de groupe, consultez « Migrating GPOs Across Domains with GPMC » (en anglais) à l'adresse http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx

Objectif

Instructions

Scénario




Description d'un lien d'objet de stratégie de groupe


Tous les objets de stratégie de groupe sont stockés dans le conteneur Objets de stratégie de groupe dans Active Directory. Lorsqu'un objet de stratégie de groupe est utilisé par un site, un domaine ou une unité d'organisation, l'objet est lié au conteneur d'objets de stratégie de groupe. Vous pouvez ainsi administrer et déployer les objets de stratégie de groupe dans plusieurs domaines ou unités d'organisation depuis un emplacement central.

Lorsque vous créez un objet de stratégie de groupe lié à un site, un domaine ou une unité d'organisation, vous effectuez en fait deux opérations distinctes : vous créez l'objet de stratégie de groupe, puis le liez au site, au domaine ou à l'unité d'organisation. Lorsque vous déléguez des autorisations pour lier un objet de stratégie de groupe à un domaine, une unité d'organisation ou un site, vous devez disposer de l'autorisation de modification sur le domaine, l'unité d'organisation ou le site.

Par défaut, seuls les membres des groupes Admins du domaine et Administrateurs de l'entreprise ont les autorisations nécessaires pour lier des objets de stratégie de groupe aux domaines et aux unités d'organisation. Seuls les membres du groupe Administrateurs de l'entreprise ont les autorisations nécessaires pour lier des objets de stratégie de groupe aux sites. Les membres du groupe Propriétaires créateurs de la stratégie de groupe peuvent créer des objets de stratégie de groupe, mais ne peuvent pas les lier.

Lorsque vous créez un objet de stratégie de groupe dans le conteneur d'objets de stratégie de groupe, celui-ci n'est déployé sur aucun ordinateur ni à l'attention d'aucun utilisateur tant que son lien n'est pas créé. Vous pouvez créer un objet de stratégie de groupe non lié à l'aide de Gestion des stratégies de groupe. Vous pouvez créer des objets de stratégie de groupe non liés dans une organisation étendue où un groupe crée les objets de stratégie de groupe et un autre lie les objets à l'unité d'organisation, au site ou au domaine approprié.

Introduction

Création d'un objet de stratégie de groupe lié

Création d'un objet de stratégie de groupe non lié


Procédure de création d'un lien d'objet de stratégie de groupe


Suivez les procédures ci-dessous pour créer et lier des objets de stratégie de groupe, lier des objets de stratégie de groupe existants, désactiver ou supprimer le lien d'un objet de stratégie de groupe et supprimer ou désactiver un objet de stratégie de groupe.

Pour lier un objet de stratégie de groupe à sa création, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt contenant le domaine où vous voulez créer et lier un objet de stratégie de groupe, développez Domaines, puis effectuez l'une des tâches suivantes :

• Pour créer un objet de stratégie de groupe et lier l'objet à un domaine, cliquez avec le bouton droit sur le domaine, puis cliquez sur Créer et lier un objet de stratégie de groupe ici.

• Pour créer un objet de stratégie de groupe et lier l'objet à une unité d'organisation, développez le domaine contenant l'unité d'organisation, cliquez avec le bouton droit sur cette dernière, puis cliquez sur Créer et lier un objet de stratégie de groupe ici.

2. Dans la boîte de dialogue New GPO, tapez le nom du nouvel objet de stratégie de groupe, puis cliquez sur OK.

Pour lier un objet de stratégie de groupe existant à un site, un domaine ou une unité d'organisation, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt contenant le domaine où vous voulez lier un objet de stratégie de groupe existant, puis développez Domaines et le domaine.

2. Cliquez avec le bouton droit sur le domaine, le site ou l'unité d'organisation, puis cliquez sur Lier un objet de stratégie de groupe existant.

3. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet de stratégie de groupe à lier, puis sur OK.

Introduction

Procédure de création et de liaison d'un objet de stratégie de groupe

Procédure de liaison d'un objet de stratégie de groupe existant


Vous ne pouvez pas lier un objet de stratégie de groupe à des conteneurs dans Active Directory, tels que les conteneurs Users et Computers. Toutefois, tout objet de stratégie de groupe lié au domaine s'applique aux utilisateurs et aux ordinateurs dans ces conteneurs.

Pour désactiver le lien d'un objet de stratégie de groupe à un site, un domaine ou une unité d'organisation, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt contenant le domaine dont vous voulez désactiver le lien avec un objet de stratégie de groupe existant, puis développez Domaines et le domaine.

2. Cliquez avec le bouton droit sur l'objet de stratégie de groupe lié, puis désactivez la case à cocher Lien activé.

La désactivation du lien d'un objet de stratégie de groupe revient à supprimer l'objet de stratégie de groupe. Cependant, pour supprimer provisoirement l'objet de stratégie de groupe, désactivez son lien. Pour supprimer définitivement l'objet de stratégie de groupe, supprimez le lien.

Pour supprimer le lien d'un objet de stratégie de groupe à un site, un domaine ou une unité d'organisation, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt contenant le domaine où vous voulez supprimer le lien d'un objet de stratégie de groupe existant, puis développez Domaines et le domaine.

2. Cliquez avec le bouton droit sur l'objet de stratégie de groupe lié, puis cliquez sur Supprimer. Le lien de l'objet de stratégie de groupe est supprimé, mais pas l'objet lui-même.

3. Dans le message, cliquez sur OK.

Pour supprimer un objet de stratégie de groupe, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt contenant le domaine où vous voulez supprimer un objet de stratégie de groupe, puis développez Domaines et Objets de stratégie de groupe.

2. Cliquez avec le bouton droit sur l'objet de stratégie de groupe à supprimer, puis cliquez sur Supprimer. Cette procédure ne supprime pas le lien de l'objet de stratégie de groupe des autres domaines.

3. Dans le message, cliquez sur OK.

Important

Procédure de désactivation du lien d'un objet de stratégie de groupe

Remarque

Procédure de suppression du lien d'un objet de stratégie de groupe

Procédure de suppression d'un objet de stratégie de groupe


Pour désactiver un objet de stratégie de groupe, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt contenant le domaine où vous voulez désactiver un objet de stratégie de groupe, puis développez Domaines et Objets de stratégie de groupe.

2. Cliquez sur l'objet Stratégie de groupe à désactiver. 3. Dans le volet d'informations de l'onglet Détails, cliquez sur l'une des

options suivantes dans la zone État GPO :

• Tous les paramètres désactivés

• Paramètres de configuration ordinateurs désactivés

• Paramètres de configuration utilisateurs désactivés

Procédure de désactivation d'un objet de stratégie de groupe


Héritage de l'autorisation de stratégie de groupe dans Active Directory


L'ordre dans lequel Windows Server 2003 applique les objets de stratégie de groupe dépend du conteneur Active Directory auquel sont liés ces objets. Les objets de stratégie de groupe sont appliqués en premier au site, puis aux domaines et enfin aux unités d'organisation dans les domaines.

Un conteneur enfant hérite des objets de stratégie de groupe du conteneur parent. En d'autres termes, de nombreux paramètres de stratégie de groupe peuvent être appliqués aux utilisateurs et aux ordinateurs dans le conteneur enfant sans qu'un objet de stratégie de groupe lui soit lié. Toutefois, il n'existe pas de hiérarchie de domaines comme pour les unités d'organisation, telles que les unités d'organisation parentes et les unités d'organisation enfants.

Les objets de stratégie de groupe sont cumulatifs, c'est-à-dire qu'ils sont hérités. L'héritage de la stratégie de groupe correspond à l'ordre dans lequel Windows Server 2003 applique les objets de stratégie de groupe. Cet ordre ainsi que le mode d'héritage des objets de stratégie de groupe déterminent les paramètres qui s'appliquent aux utilisateurs et aux ordinateurs. Si plusieurs objets de stratégie de groupe ont la même valeur, le dernier objet de stratégie de groupe appliqué prime par défaut.

Plusieurs objets de stratégie de groupe peuvent également être liés aux mêmes conteneurs. Par exemple, trois objets de stratégie de groupe peuvent être liés à un seul domaine. L'ordre dans lequel les objets de stratégie de groupe sont appliqués pouvant affecter les paramètres résultants de la stratégie de groupe, l'application de ces paramètres à chaque conteneur répond également à un ordre, ou une priorité, particulier.

L'activité Les stratégies de groupe inclut des exercices à choix multiples et de type glisser-déplacer qui permettent de tester vos connaissances. Pour commencer l'activité, ouvrez la page Web sur le CD-ROM du stagiaire, puis cliquez sur Multimédia et sur Les stratégies de groupe. Lisez les instructions, puis cliquez sur l'onglet Répercutions des paramètres de stratégie de groupe pour lancer l'activité.

Introduction

Flux d'héritage

Ordre d'héritage

Activité multimédia


Application pratique : Création d'un lien d'objet de stratégie de groupe


Dans cette application pratique, vous allez créer un lien d'objet de stratégie de groupe.




! Vérifiez que CustomMMC contient Gestion des stratégies de groupe et Utilisateurs et ordinateurs Active Directory.

! Passez en revue les procédures de cette leçon qui décrivent la façon d'effectuer cette tâche.

Les ingénieurs système de Northwind Traders vont tester les paramètres de la stratégie de groupe dans un environnement de test. Ces paramètres de stratégie de groupe seront utilisés ultérieurement pour les tests d'évolutivité. Les ingénieurs système demandent à vos administrateurs système de créer des objets de stratégie de groupe pour ces tests.

Objectif

Instructions

Scénario


! Créer une unité d'organisation dans l'unité d'organisation IT Test

1. Dans Utilisateurs et ordinateurs Active Directory, développez nwtraders.msft, puis l'unité d'organisation IT Test.

2. Créez l'unité d'organisation NomOrdinateur.

! Créer un lien d'objet de stratégie de groupe avec l'unité d'organisation IT Test/NomOrdinateur

• Dans Gestion des stratégies de groupe, créez l'objet de stratégie de groupe NomOrdinateur GP et liez-le à l'unité d'organisation IT Test/NomOrdinateur.



Leçon : Administration du déploiement d'une stratégie de groupe


À la fin de cette leçon, les stagiaires seront à même d'administrer le déploiement d'une stratégie de groupe.


! expliquer ce qui se produit en cas de conflit entre des objets de stratégie de groupe ;

! expliquer en quoi consiste le blocage du déploiement d'un objet de stratégie de groupe ;

! bloquer le déploiement d'un objet de stratégie de groupe ; ! décrire les attributs d'un lien d'objet de stratégie de groupe ; ! configurer l'application d'une stratégie de groupe ; ! expliquer en quoi consiste le filtrage du déploiement d'un objet de stratégie

de groupe ; ! configurer le filtrage d'une stratégie de groupe.

Introduction



Impact de l'existence d'objets de stratégie de groupe conflictuels


Les combinaisons complexes d'objets de stratégie de groupe peuvent engendrer des conflits qui peuvent vous amener à modifier l'héritage par défaut. Si un paramètre de stratégie de groupe est configuré pour une unité d'organisation parente, mais pas pour une unité d'organisation enfant, les objets contenus dans l'unité d'organisation enfant héritent du paramètre de stratégie de groupe de l'unité d'organisation parente.

Si des paramètres de stratégie de groupe sont configurés pour les unités d'organisation parentes et enfants, les paramètres des unités d'organisation s'appliquent. Si les paramètres sont incompatibles, l'unité d'organisation enfant conserve son propre paramètre de stratégie de groupe. Par exemple, le paramètre de stratégie de groupe, pour l'unité d'organisation, qui a été appliqué en dernier à l'ordinateur ou à l'utilisateur remplace tout paramètre de stratégie de groupe conflictuel pour un conteneur qui figure plus haut dans la hiérarchie Active Directory.

Si l'ordre d'héritage par défaut ne satisfait pas aux besoins de votre organisation, vous pouvez modifier les règles d'héritage d'objets de stratégie de groupe spécifiques. Windows Server 2003 offre les deux options suivantes pour modifier l'ordre d'héritage par défaut :

! Ne pas passer outre Cette option permet d'empêcher les conteneurs enfants de remplacer un objet de stratégie de groupe avec un paramètre de priorité supérieure. Elle est utile pour appliquer des objets de stratégie de groupe représentant les règles métier de l'ensemble de l'organisation. L'option Ne pas passer outre est définie selon chaque objet de stratégie de groupe. Vous pouvez la configurer pour un ou plusieurs objets de stratégie de groupe en fonction des besoins. Si plusieurs objets de stratégie de groupe sont affectés de la valeur Ne pas passer outre, l'objet de stratégie de groupe le plus haut dans la hiérarchie Active Directory est prioritaire.

Introduction

Procédure de résolution des conflits

Options de modification de l'héritage


! Bloquer l'héritage de stratégies Cette option permet de forcer un conteneur enfant à bloquer l'héritage de tous les conteneurs parents. Elle est utile lorsqu'une unité d'organisation exige des paramètres de stratégie de groupe uniques. Cette option est configurée selon chaque conteneur. En cas de conflit, l'option Ne pas passer outre est toujours prioritaire par rapport à l'option Bloquer l'héritage de stratégies.


Blocage du déploiement d'un objet de stratégie de groupe


Vous pouvez empêcher un conteneur enfant d'hériter d'un objet de stratégie de groupe des conteneurs parents en activant l'option Bloquer l'héritage de stratégies dans le conteneur enfant.

Lorsque vous activez l'option Bloquer l'héritage de stratégies dans un conteneur enfant, vous empêchez celui-ci d'hériter de tous les paramètres de stratégie de groupe et pas seulement de ceux qui sont sélectionnés. Cette option est utile si un conteneur Active Directory exige des paramètres de stratégie de groupe uniques et vous ne voulez pas qu'ils soient hérités. Vous pouvez utiliser Bloquer l'héritage de stratégies lorsque l'administrateur d'une unité d'organisation doit contrôler tous les objets de stratégie de groupe d'un conteneur.

Lorsque vous activez l'option Bloquer l'héritage de stratégies, tenez compte des éléments suivants :

! Vous ne pouvez pas choisir de façon sélective les objets de stratégie de groupe à bloquer. L'option Bloquer l'héritage de stratégies s'applique à tous les objets de stratégie de groupe dans tous les conteneurs parents, à l'exception des objets de stratégie de groupe affectés de la valeur Ne pas passer outre lorsque la console Gestion des stratégies de groupe n'est pas installée et Appliqué lorsque la console Gestion des stratégies de groupe est installée.

! L'option Bloquer l'héritage de stratégies ne bloque pas l'héritage d'un objet de stratégie de groupe lié à un conteneur parent si le lien est affecté de la valeur Ne pas passer outre.

L'activité Les stratégies de groupe inclut des exercices à choix multiples et de type glisser-déplacer qui permettent de tester vos connaissances. Pour commencer l'activité, ouvrez la page Web sur le CD-ROM du stagiaire, puis cliquez sur Multimédia et sur Implémentation de stratégie de groupe. Lisez les instructions, puis cliquez sur l'onglet Gestion du déploiement de la stratégie de groupe pour lancer l'activité.

Introduction

Intérêt du blocage de l'héritage d'une stratégie

Éléments à prendre en compte

Activité multimédia


Procédure de blocage du déploiement d'un objet de stratégie de groupe


Suivez la procédure ci-dessous pour activer l'option Bloquer l'héritage.

Pour activer l'option Bloquer l'héritage, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt dont vous voulez bloquer l'héritage, puis effectuez l'une des tâches suivantes :

• Pour bloquer l'héritage des liens des objets de stratégie de groupe de l'ensemble d'un domaine, développez Domaines, puis cliquez avec le bouton droit sur le domaine.

• Pour bloquer l'héritage des liens des objets de stratégie de groupe d'une unité d'organisation, développez Domaines et le domaine contenant l'unité d'organisation, puis cliquez avec le bouton droit sur cette dernière.

2. Cliquez sur Bloquer l'héritage.

Introduction

Procédure


Attributs d'un lien d'objet de stratégie de groupe


Vous pouvez activer, désactiver, appliquer et regrouper les liens des objets de stratégie de groupe. Ces options ont un impact considérable sur les comptes d'utilisateurs et les comptes d'ordinateurs de l'unité d'organisation à laquelle est lié l'objet de stratégie de groupe.

L'option Appliqué est un attribut de lien d'objet de stratégie de groupe et non d'objet de stratégie de groupe proprement dit. Si un objet de stratégie de groupe est lié à plusieurs conteneurs, configurez l'option Appliqué dans chaque conteneur. En outre, si le même objet de stratégie de groupe est lié ailleurs, l'option Appliqué ne s'applique à ce lien que si vous le modifiez également.

Tous les paramètres de stratégie de groupe contenus dans l'objet de stratégie de groupe dont le lien est affecté de la valeur Appliqué s'appliquent, même s'ils sont en conflit avec les paramètres de stratégie de groupe traités après eux ou si l'héritage est bloqué à un niveau inférieur de l'arborescence Active Directory. Il est recommandé de n'activer l'option Appliqué que pour les liens de l'objet de stratégie de groupe qui représente des règles essentielles au niveau de l'organisation. Liez l'objet de stratégie de groupe à un niveau supérieur de l'arborescence Active Directory pour qu'il s'applique à plusieurs unités d'organisation. Par exemple, vous pouvez lier à un domaine ou à un site un objet de stratégie de groupe associé à des paramètres de sécurité réseau.

L'option Appliqué s'appelle Ne pas passer outre dans Utilisateurs et ordinateurs Active Directory avant que la console Gestion des stratégies de groupe ne soit installé.

Introduction

Option Appliqué

Important


L'option Lien activé est un autre attribut qui permet de dépanner un objet de stratégie de groupe. Vous pouvez désactiver le lien de l'objet de stratégie de groupe en désélectionnant cette option au lieu de le supprimer. Lorsque vous désactivez le lien, vous modifiez uniquement ses répercussions sur les comptes d'utilisateurs et les comptes d'ordinateurs dans l'unité d'organisation et dans toutes les unités d'organisation enfants. Les autres liens éventuels à l'objet de stratégie de groupe restent intacts.

Si plusieurs objets de stratégie de groupe sont liés à une unité d'organisation, l'objet de stratégie de groupe associé au lien le plus haut dans la hiérarchie est appliqué en dernier. En cas de conflit entre les paramètres de stratégie de groupe dans l'objet de stratégie de groupe, c'est le dernier paramètre appliqué qui prime.

Liens conflictuels

Activation et désactivation d'un lien


Procédure de configuration de l'application d'une stratégie de groupe


Suivez la procédure ci-dessous pour configurer l'application du lien d'un objet stratégie de groupe.

Pour configurer l'application du lien d'un objet de stratégie de groupe, procédez comme suit :

1. Dans l'arborescence de la console Gestion des stratégies de groupe, développez la forêt qui contient le lien dont vous voulez configurer l'application, puis effectuez l'une des tâches suivantes :

• Pour configurer l'application du lien d'un objet de stratégie de groupe à un domaine, développez successivement Domaines et le domaine qui contient le lien de l'objet de stratégie de groupe.

• Pour configurer l'application du lien d'un objet de stratégie de groupe à une unité d'organisation, développez successivement Domaines, le domaine qui contient l'unité d'organisation et l'unité d'organisation. Cette unité d'organisation peut correspondre à n'importe quelle unité d'organisation parente ou enfant contenant le lien de l'objet de stratégie de groupe.

• Pour configurer l'application du lien d'un objet de stratégie de groupe à un site, développez successivement Domaines et le site qui contient le lien de l'objet de stratégie de groupe.

Introduction

Procédure


2. Cliquez avec le bouton droit sur le lien de l'objet de stratégie de groupe, puis cliquez sur Appliqué pour activer ou désactiver l'application.

N'incluez que les paramètres de stratégie de groupe importants affectés de la valeur Appliqué dans les objets de stratégie de groupe liés, car ces derniers s'appliquent quelle que soit la configuration des autres objets de stratégie de groupe. Vous devez être sûr de ne pas remplacer des objets de stratégie de groupe importants.

Remarque


Filtrage du déploiement d'un objet de stratégie de groupe


Tous les paramètres de stratégie de groupe contenus dans les objets de stratégie de groupe affectant le conteneur sont par défaut appliqués à tous les utilisateurs et les ordinateurs du conteneur, ce qui peut entraîner des résultats inattendus. Grâce à la fonction de filtrage, vous pouvez déterminer les paramètres appliqués aux utilisateurs et aux ordinateurs dans un conteneur donné.

Vous pouvez filtrer le déploiement d'un objet de stratégie de groupe en définissant des autorisations sur le lien de l'objet de stratégie de groupe afin de déterminer l'accès de l'autorisation Lecture ou Refuser sur l'objet de stratégie de groupe. Pour appliquer les paramètres de stratégie de groupe à un compte d'utilisateur ou un compte d'ordinateur, le compte doit avoir au moins l'autorisation Lecture sur un objet de stratégie de groupe. Les autorisations par défaut d'un nouvel objet de stratégie de groupe comprennent les entrées de contrôle d'accès (ACE) suivantes :

! Utilisateurs authentifiés - Lire et Appliquer la stratégie de groupe ! Admins du domaine, Administrateurs de l'entreprise et SYSTEM � Lire,

Écrire, Créer tous les objets enfants, Supprimer tous les objets enfants

Vous pouvez utiliser les méthodes de filtrage suivantes :

! Refuser explicitement Cette méthode est utilisée pour refuser l'accès à la stratégie de groupe. Par exemple, vous pouvez refuser explicitement l'autorisation au groupe de sécurité Administrateurs pour empêcher les administrateurs de l'unité d'organisation de recevoir les paramètres de l'objet de stratégie de groupe.

! Supprimer les utilisateurs authentifiés Vous pouvez retirer les administrateurs de l'unité d'organisation du groupe de sécurité ; en d'autres termes, ils n'ont aucune autorisation explicite sur l'objet de stratégie de groupe.

! Filtrage WMI

Introduction

Autorisation des objets de stratégie de groupe

Méthodes de filtrage


Discussion de cours : Modification de l'héritage d'une stratégie de groupe


Vous avez déterminé que les conditions suivantes doivent être satisfaites sur votre réseau :

! Une application antivirus doit être installée sur tous les ordinateurs du domaine.

! La suite Microsoft Office doit être installée sur les ordinateurs du domaine, à l'exception de ceux du service « Payroll ».

! Une application comptable professionnelle doit être installée sur tous les ordinateurs du service « Payroll », à l'exception de ceux utilisés par les administrateurs de l'unité d'organisation « Payroll ».

Discussion de classe


Comment configurer les objets de stratégie de groupe conformément aux conditions ci-dessus ?

• Créez un objet de stratégie de groupe lié au domaine qui installe l'application antivirus, puis affectez l'option Appliqué au lien. Créez et liez un autre objet de stratégie de groupe au niveau du domaine qui installe la suite Office.

• Au niveau de l'unité d'organisation « Payroll », activez l'option Bloquer l'héritage de stratégies. L'option Appliqué sur le lien de l'objet Stratégie de groupe qui déploie l'application antivirus assure que celle-ci n'est pas bloquée. Créez et liez un objet de stratégie de groupe au niveau de l'unité d'organisation « Payroll » qui installe l'application comptable sur les ordinateurs clients. Modifiez la liste DACL de l'objet de stratégie de groupe pour que les comptes d'ordinateurs utilisés par les administrateurs « Payroll » ne soient pas autorisés à appliquer la stratégie de groupe. ____________________________________________________________

____________________________________________________________

____________________________________________________________

____________________________________________________________

____________________________________________________________


Procédure de configuration du filtrage d'une stratégie de groupe


Suivez la procédure ci-dessous pour configurer le filtrage d'une stratégie de groupe.

Pour filtrer l'étendue d'un objet de stratégie de groupe à l'aide de groupes de sécurité, procédez comme suit : 1. Dans l'arborescence de la console Gestion des stratégies de groupe,

développez la forêt et le domaine contenant l'objet de stratégie de groupe, développez Objets de stratégie de groupe, puis cliquez sur l'objet de stratégie de groupe.

2. Dans le volet d'informations, cliquez sur l'onglet Étendue, puis sur Ajouter. 3. Dans la boîte de dialogue Sélectionnez Utilisateur, Ordinateur

ou Groupe, tapez le nom du responsable de la sécurité dans la zone Entrez le nom de l�objet à sélectionner, puis cliquez sur OK.

4. Cliquez sur l'onglet Délégation, puis sur Avancé. 5. Dans la boite de dialogue Paramètres de sécurité, configurez le paramètre

de sécurité avancé suivant : " Affectez l'option Refuser à l'autorisation Appliquer la stratégie de

groupe pour le responsible de la sécurité.

Introduction

Procédure


Application pratique : Administration du déploiement d'une stratégie de groupe


Dans cette application pratique, vous allez administrer le déploiement d'une stratégie de groupe.




! Vérifiez que CustomMMC contient les composants logiciels enfichables suivants :

• Utilisateurs et ordinateurs Active Directory

• Gestion des stratégies de groupe ! Passez en revue les procédures de cette leçon qui décrivent la façon

d'effectuer cette tâche.

Northwind Traders teste l'effet de plusieurs paramètres de stratégie de groupe sur les utilisateurs et les ordinateurs. Northwind Traders souhaite implémenter une unité d'organisation qui permette à tous les utilisateurs de disposer d'un Bureau standard, à l'exception des responsables dont les comptes figurent dans l'unité d'organisation Employees.

La Direction a demandé aux administrateurs système de créer une hiérarchie dans l'unité d'organisation IT Test. Cette hiérarchie doit contenir les unités d'organisation Accounting et Marketing, comme le montre la diapositive.

Objectif

Instructions

Scénario


La Direction vous a également demandé de créer un objet de stratégie de groupe pour installer une application comptable et une application de marketing distincte. Les applications de comptabilité et de marketing doivent être accessibles à l'ensemble du personnel des services Accounting et Marketing. Toutefois, la Direction ne veut pas déployer immédiatement les applications pour les employés intérimaires. Elle souhaite maintenir une certaine souplesse de sorte que les applications puissent être déployées facilement lorsque les employés intérimaires sont prêts à les utiliser.

! Créer trois objets de stratégie de groupe à des fins de test

• Dans la console Gestion des stratégies de groupe, créez trois objets de stratégie de groupe dans le conteneur objet de stratégie de groupe en leur attribuant les noms suivants :

• NomOrdinateur Bureau standard

• NomOrdinateur Apps de comptabilité

• NomOrdinateur Apps de marketing

! Créer une structure d'unité d'organisation identique à celle de la diapositive

• Dans la fenêtre Utilisateurs et ordinateurs Active Directory, créez la structure de l'unité d'organisation indiquée dans la diapositive.

! Créer un lien d'un objet de stratégie de groupe appliqué

1. Liez l'objet de stratégie de groupe NomOrdinateur Bureau Standard à l'unité d'organisation IT Test/NomOrdinateur.

2. Dans l'unité d'organisation IT Test/NomOrdinateur, cliquez avec le bouton droit sur le lien NomOrdinateur Bureau Standard, puis cliquez sur Appliqué.

! Configurer un filtre de sécurité d'objet de stratégie de groupe

1. Dans la console Gestion des stratégies de groupe, dans le conteneur Objets de stratégie de groupe, double-cliquez sur le lien NomOrdinateur Bureau Standard.

2. Dans le volet d'informations, ajoutez les groupes suivants dans l'onglet Étendue :

• G NWTraders Accounting Managers

• G NWTraders Accounting Personnel

• G NWTraders Marketing Managers

• G NWTraders Marketing Personnel 3. Supprimez les utilisateurs authentifiés. 4. Dans l'onglet Délégation, cliquez sur Avancé.



5. Dans la boîte de dialogue Paramètres de sécurité pour NomOrdinateur Bureau Standard, configurez les paramètres de sécurité avancée suivants :

• Pour le groupe G NWTraders Accounting Managers, affectez la valeur Refuser aux autorisations Appliquer la stratégie de groupe.

• Pour le groupe G NWTraders Marketing Managers, affectez la valeur Refuser aux autorisations Appliquer la stratégie de groupe.

! Configurer les objets de stratégie de groupes pour bloquer l'héritage

1. Liez l'objet Stratégie de groupe NomOrdinateur Apps de comptabilité à l'unité d'organisation IT Test/NomOrdinateur/Accounting.

2. Cliquez sur l'unité d'organisation Temp. Employees dans l'unité d'organisation IT Test/NomOrdinateur/Accounting.

3. Répertoriez les objets de stratégie de groupe dont hérite l'unité d'organisation IT Test/NomOrdinateur/Accounting/Temp. Employees. NomOrdinateur Bureau standard NomOrdinateur Apps de comptabilité Default Domain Policy Suivi d'emplacement d'imprimante NomOrdinateur GP ____________________________________________________________

____________________________________________________________

____________________________________________________________

4. Cliquez avec le bouton droit sur l'unité d'organisation Temp Employees dans l'unité d'organisation IT Test/NomOrdinateur/Accounting, puis cliquez sur Bloquer l'héritage.

5. Répertoriez les objets de stratégie de groupe dont hérite l'unité d'organisation IT Test/NomOrdinateur/Accounting. NomOrdinateur Bureau standard ____________________________________________________________

____________________________________________________________


Atelier A : Implémentation d'une stratégie de groupe


À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :

! lier un objet de stratégie de groupe à une unité d'organisation ; ! identifier l'impact de l'héritage lorsque plusieurs objets de stratégie

de groupe sont affectés ; ! bloquer l'héritage d'une stratégie de groupe ; ! forcer l'application d'un objet de stratégie de groupe à des unités

d'organisation enfants ; ! filtrer un objet de stratégie de groupe pour l'appliquer à des utilisateurs

et des groupes donnés dans une unité d'organisation.

Avant de commencer cet atelier :



! Vérifiez que CustomMMC contient les composants logiciels enfichables suivants :

• Utilisateurs et ordinateurs Active Directory

• Gestion des stratégies de groupe

Objectifs

Instructions

Durée approximative de cet atelier : 25 minutes


Northwind Traders prépare le déploiement d'objets de stratégie de groupe accessibles aux utilisateurs et aux ordinateurs de toutes les villes sur son réseau. Les ingénieurs système veulent que les administrateurs système créent tous les objets de stratégie de groupe et les lient aux unités d'organisation appropriées. Une fois les objets de stratégie de groupe créés et déployés sur les stations de travail, vous devez les configurer pour exécuter les tâches attendues.

Les administrateurs système vous ont communiqué la liste des objets de stratégie de groupe à créer et à configurer, accompagnés de leurs propriétés. Il est recommandé de réutiliser, si possible, les objets de stratégie de groupe existants. Vous devez aussi vous assurer qu'aucun paramètre de stratégie de groupe relatif aux ordinateurs ne s'applique aux ordinateurs portables de votre ville. Vous devez donc bloquer l'application de tout objet de stratégie de groupe à l'unité d'organisation Laptops.

Nom de l'objet de stratégie de groupe

Emplacement

Filtrage

Application

NomOrdinateur Bureau Standard

Locations/NomOrdinateur Par défaut Appliqué

NomOrdinateur Redirection de dossiers

Locations/NomOrdinateur/Users DL Temp Employees = Refuser

NomOrdinateur Scripts Locations/NomOrdinateur/Users Par défaut

NomOrdinateur Paramètres de proxy

Locations/NomOrdinateur/ Computers/Desktops

Par défaut Appliqué

Scénario


Exercice 1 Création et liaison d'objets de stratégie de groupe Dans cet exercice, vous allez créer et lier des objets de stratégie de groupe à votre unité d'organisation NomOrdinateur.

Tâches Instructions spécifiques

1. Lier un objet de stratégie de groupe Bureau Standard.

a. Emplacement : nwtraders.msft/Locations/NomOrdinateur

b. Nom d'objet de stratégie de groupe : NomOrdinateur Bureau Standard

2. Créer et lier un objet de stratégie de groupe Redirection de dossiers.

a. Emplacement : nwtraders.msft/Locations/NomOrdinateur/Users

b. Nom d'objet de stratégie de groupe : NomOrdinateur Redirection de dossiers

3. Créer et lier un objet de stratégie de groupe Scripts.


b. Nom d'objet de stratégie de groupe : NomOrdinateur Scripts

4. Créer et lier un objet de stratégie de groupe Paramètres de proxy.

a. Emplacement : nwtraders.msft/Locations/NomOrdinateur/Computers/ Desktops

b. Nom d'objet de stratégie de groupe : NomOrdinateur Paramètres de proxy


Exercice 2 Filtrage du déploiement d'un objet de stratégie de groupe Dans cet exercice, vous allez définir les autorisations Refuser pour tous les employés intérimaires de Northwind Traders de sorte que l'objet de stratégie de groupe NomOrdinateur Redirection de dossiers ne leur soit pas appliqué.


1. Configurer le filtrage d'un objet de stratégie de groupe pour un groupe.


b. Objet de stratégie de groupe : NomOrdinateur Redirection de dossiers

c. Groupe : DL Temp Employees

d. Autorisations : Affectez la valeur Refuser à l'autorisation Appliquer la stratégie de groupe.


Exercice 3 Configuration de l'application des objets de stratégie de groupe Dans cet exercice, vous allez configurer les objets de stratégie de groupe pour qu'ils s'appliquent à l'ensemble de la hiérarchie de votre unité d'organisation.


1. Définir l'option Appliqué sur un lien d'objet de stratégie de groupe.

a. Emplacement : nwtraders.msft/Locations/NomOrdinateur.

b. Objet de stratégie de groupe : Lien NomOrdinateur Bureau Standard

c. Option : Appliqué

2. Définir l'option Appliqué sur un lien d'objet de stratégie de groupe.

a. Emplacement : nwtraders.msft/Locations/NomOrdinateur/Computers/ Desktops

b. Objet de stratégie de groupe : NomOrdinateur Paramètres de proxy

c. Option : Appliqué

Exercice 4 Configuration du blocage des objets de stratégie de groupe Dans cet exercice, vous allez bloquer l'héritage des objets de stratégie de groupe dans la hiérarchie de votre unité d'organisation.


1. Définir l'option Bloquer l'héritage de stratégies sur une unité d'organisation

a. Emplacement : nwtraders.msft/Locations/NomOrdinateur/Computers/ Laptops

b. Option : Bloquer l'héritage

THIS PAGE INTENTIONALLY LEFT BLANK

41049989 Administration Des GPO

Documents

Transcript of 41049989 Administration Des GPO